準備工作

在導入CloudTrail日志到日志服務前，您需在CloudTrail上完成如下配置，使CloudTrail在寫入數(shù)據(jù)到S3后，S3能夠將消息通知到SQS。

1. 在CloudTrail中創(chuàng)建跟蹤。具體操作，請參見創(chuàng)建跟蹤。
2. 在SQS中創(chuàng)建隊列。具體操作，請參見創(chuàng)建隊列。
3. 在步驟1創(chuàng)建的跟蹤對應的S3 Bucket中，配置事件通知。具體操作，請參見S3配置事件通知。
   配置事件通知時，需選擇目的地為步驟2中創(chuàng)建的隊列。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:SendMessage",
        "sqs:DeleteMessage",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues",
        "s3:GetObject",
        "kms:Decrypt"
      ],
      "Resource": "*"
    }
  ]
}

操作步驟

1. 登錄日志服務控制臺。
2. 在日志應用區(qū)域的審計與安全頁簽中，單擊日志分析 For AWS CloudTrail。
3. 在接入管理頁面中，單擊添加。
4. 在創(chuàng)建配置面板中，創(chuàng)建CloudTrail審計配置。
   1. 配置如下參數(shù)。

      參數(shù)	說明
      配置名稱	CloudTrail審計配置的名稱。
      項目Project	用于管理CloudTrail審計應用相關資產(chǎn)的Project。 說明 目前僅支持華東1（杭州）、華北2（北京）、華北3（張家口）、華北6（烏蘭察布）、西南1（成都）、華南1（深圳）。
      AWS賬戶ID	AWS賬戶ID。
      AWS AccessKey ID	用于訪問AWS的AWS AccessKey ID。 重要 請確保您的AccessKey具有訪問AWS相應資源的權限。
      AWS Secret AccessKey	用于訪問AWS的AWS Secret AccessKey。
      AWS區(qū)域	SQS隊列所在地域。
      SQS Queue URL	SQS隊列標識。更多信息，請參見隊列和消息的標識。
      SQS BatchSize	SQS每次可拉取的最大消息數(shù)。默認值：10，取值范圍：1~10。
      導入間隔	導入數(shù)據(jù)任務的調度間隔。默認值：3，取值范圍：1~43200，單位：分鐘。
      并發(fā)任務數(shù)	執(zhí)行導入數(shù)據(jù)任務的并發(fā)數(shù)。默認值：1，范圍：1~20。 說明 數(shù)據(jù)量較大時，可以調高該參數(shù)。

   2. 單擊預覽。
      說明 如果預覽失敗，您需要根據(jù)錯誤信息排查配置。預覽結果顯示success后，才能進行下一步。
   3. 單擊確定。

相關操作

您還可以在接入管理頁簽中，執(zhí)行如下操作。

操作	說明
查看審計日志	單擊目標配置對應的查看審計日志，系統(tǒng)將跳轉至對應的Logstore中。您可以在Logstore中查看對應的原始日志，并執(zhí)行查詢分析操作。具體操作，請參見查詢和分析日志。
查看報表	單擊目標配置對應的查看報表，系統(tǒng)將跳轉至對應的儀表盤頁面，并展示各類審計儀表盤。
修改數(shù)據(jù)保存時間	找到目標配置對應的數(shù)據(jù)保存時間，單擊圖標，修改目標Logstore中數(shù)據(jù)的保存時間。
修改配置	單擊目標配置對應的修改，您可以修改配置的名稱、對應的Project等參數(shù)。
刪除配置	如果您不再使用此配置，可單擊目標配置對應的刪除。 重要 刪除配置不會同步刪除已經(jīng)創(chuàng)建的Logstore，只是刪除導入數(shù)據(jù)任務。 已經(jīng)導入Logstore的數(shù)據(jù)會一直保存，直到過期。 刪除配置后，不可恢復，請謹慎操作。